En el mundo de hoy todos hablamos de seguridad y de qué tan bien estamos protegidos; muchas personas duermen tranquilas al saber que su banco tiene una medida de seguridad nueva o ciertas barreras que promueven nuestra tranquilidad, pero ¿qué hay detrás de toda esa propaganda?

En una institución financiera la seguridad no refiere a los sistemas y a la infraestructura que protege dichos sistemas. La seguridad en una institución financiera comienza mucho más abajo. Este control comienza desde la entrada a los edificios, así es, la entrada a los edificios consta de un equipo de vigilancia bastante bien entrenado y gafetes magnéticos, pero se pueden imaginar ¿qué pasa si algún día se llegase a olvidar esa identificación?

Este es el escenario: 7 de la mañana, un día frío, la identificación yace en la mesa de la sala en casa, al llegar, apenas rebasadas las 8 comienzo a buscarle, llamo a casa “¿está mi gafete ahí?” La respuesta rebota contra mí en poco tiempo: Si. Comienza la odisea, en el lobby del banco le informo al jefe de seguridad que olvidé mi gafete, me dirige hacia la estación de seguridad ubicada a un lado y me solicita una identificación, la cual saco de mi cartera inmediatamente, comienza a buscar en la computadora y ¡éxito! Me pregunta inmediatamente en que piso trabajo, el nombre de mi gerente y desde cuándo estoy empleado por el banco. Rápidamente contesto todas las preguntas y hay un último paso, toman mi huella digital en la estación de seguridad para constatar mi identidad, esto me impresiono ya que la seguridad es impresionantemente estricta, todo eso solo para poder entrar al edificio en que trabajo todos los días.

Vayamos un paso más adelante, este edificio pertenece únicamente al banco, pero aún cuando todas las personas que tienen un gafete son empleados del banco, el acceso está controlado piso por piso y aun dentro de los pisos hay áreas aseguradas.

Una vez que llego a mi escritorio después de varias llamadas telefónicas y ayuda de mis compañeros, ya que el área donde trabajo es obviamente controlada, el siguiente punto de control es la contraseña para abrir una sesión en mi computadora, la cual tiene sistema operativo Windows XP controlado por un dominio en Active Directory. En un estudio realizado hace 6 meses se reveló que los administradores de seguridad tenían un grave problema: las contraseñas no eran lo suficientemente seguras, por lo cual el banco lanzo una campaña para reforzar las contraseñas a lo largo de la empresa para sistemas vitales o de alto riesgo, especialmente para los administradores de seguridad. Esta política consta de un número alto de caracteres y con ciertas regulaciones para incluir caracteres.

El estudio realizado revelo que las contraseñas más usadas contenían el nombre del banco o hacían referencia a las iniciales del banco, después de este estudio nació un grupo de certificación que se dedica exclusivamente a monitorear todos los accesos construidos dentro de los sistemas del banco y que todas las contraseñas cumplan con las regulaciones establecidas, las sanciones van desde un aviso del gerente a cargo hasta la terminación inmediata del contrato, dependiendo de la ofensa.

Una vez autenticado en el dominio de Windows viene la siguiente parte, aquí es donde la seguridad esta al máximo, el control de accesos, una de mis actividades vitales y cotidianas en el área de seguridad y control de acceso es proporcionar el mismo a los diferentes sistemas del banco, lo cual involucra dinero, mucho dinero. Para proporcionar un acceso al banco no basta con una llamada o un correo, es un proceso mucho más delicado y complejo de lo que parece.

Describiré un poco más a fondo lo que se necesita para proporcionar un acceso a uno de los sistemas (esto va desde lo más básico como poner un nombre de usuario y asociarlo a un nivel de acceso; hasta proveer permisos para mover dinero entre cuentas y diferentes países): Recuerdo una ocasión que alguien estaba al teléfono pidiendo acceso a un sistema llamado CMS (Custody Management System) que es un sistema financiero que está protegido por la elite de la seguridad en el banco, alguien se levanta y le pegunta a mi gerente, ¿podemos proporcionar un acceso con autorización telefónica? La respuesta es un rotundo NO, y la consabida burla, ¡si no es Pizza Hut! El departamento entero suelta una carcajada. Cabe mencionar que para solicitar un acceso de este tipo se necesita primero una firma del gerente seguido de una firma  de personas en muy altas posiciones dentro del banco, con una descripción detallada de qué es lo que se pretende hacer con ese acceso, y no solo eso, para poder dar dicho acceso tiene que pasar por revisión de un administrador de seguridad, léase un servidor, y un tercer filtro del departamento conocido como “Control Financiero”, este departamento decide a dónde va el dinero y para que se va a utilizar. La primera vez que firme un acceso así me temblaba la mano, la cifra pasaba los 100 millones de dólares, cómo puedo tomar la responsabilidad de autorizar a alguien un movimiento por esa cantidad, mi compañera y entrenadora me dice: no te impresiones, realmente no es tanto, solo asegúrate de revisar quién está firmando el acceso y que la firma coincida con nuestra lista de contactos autorizados.

Después de un intenso entrenamiento en políticas de seguridad, filtros y demás viene el siguiente paso en seguridad dentro de una institución de este calibre, es un proceso llamado RBAC (Role Based Access Control). En resumen este control se refiere a que solo los accesos requeridos son los que se otorgan, ¿cómo saber esto? la infraestructura tecnológica nos permite hacerlo mediante la segregación de funciones, hay áreas que por su naturaleza no se pueden controlar a ese nivel pero en un 80% las áreas que procesan las transacciones más importantes en el banco están bajo este régimen.

Con todo lo descrito anteriormente tengo la intención de mostrar qué tan bien asegurado y controlado esta el acceso a las instituciones financieras, esto es una cultura, ya que más que tener toda la infraestructura tecnológica posible, todo comienza con la educación de las personas. ¿Se imaginan qué pasaría si alguien externo tuviera acceso a una contraseña de administrador de un Mainframe o a alguno de los sistemas vitales de esta institución?

Creo que está de más mencionar el caos que provocaría, sin pensar en el impacto financiero para una institución de este calibre.

[email protected]comcast.net